La justice irlandaise a transmis une série de questions préjudicielles à la demande de la CNIL locale. Après l'invalidation du Safe Harbor, M. Schrems s’est attaqué aux clauses contractuelles types. Elles permettent à Facebook Irlande de toujours transférer les données des Européens vers Facebook Inc., pour la grande joie de la NSA.
Le 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) invalidait le Safe Harbor. Jusqu'à présent, cet accord noué entre la Commission européenne et les États-Unis autorisait depuis 2000 les entreprises installées outre-Atlantique à importer et traiter les données personnelles des Européens. Ces traitements étaient considérés comme menés sur le vieux continent avec un niveau similaire de garanties, du moins en principe.
Seul souci sur le rivage de ce port sûr, aucune clause de révision n’avait été programmée pour déterminer si le contexte avait changé depuis 2000. Quelques années plus tard, les révélations Snowden ont fait éclater au grand jour l'ampleur du programme de surveillance, sans susciter de réaction épidermique de la commission, au delà de ses quelques communiqués.
Le Safe Harbor ? « L’une des voies par lesquelles les autorités américaines du renseignement ont accès à la collecte des données à caractère personnel initialement traitées dans l’[Union] », avait épinglé la CJUE qui soulignait également l’absence de voie de recours.
Conclusion : « une réglementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée ».
L'alternative des clauses contractuelles types, entre fragilité et sécurité
Depuis, Facebook a opté pour un autre mode de transmission autorisé par le droit européen. Ce sont les clauses contractuelles types qui, avec les règles internes d’entreprise ou BCR (binding corporate rules), permettent la continuité des flux.
Toujours en octobre 2015, après invalidation du Safe Harbor, le groupe des autorités de contrôle en Europe, dont la CNIL en France, avait d’ailleurs affirmé que ces outils alternatifs « peuvent encore être utilisés par les entreprises », sous réserve d’analyses plus détaillées. Si elles le disent...
Cependant Maximilien Schrems a la conviction que les clauses nouant désormais Facebook Irlande et Facebook Inc. ne garantissent en rien que la NSA a cessée d'être alimentée en données européennes. Que ce soit par elles ou le Safe Harbor, rien ne changerait véritablement sur le front de la surveillance de masse, en particulier à l'aide du pipeline Facebook.
Dans une interview dans nos colonnes, Me Benjamin May, spécialisé en technologies de l’information, nous avait en ce sens exposé qu’« il n’est pas du tout évident que ces clauses contractuelles ou les BCR vont être considérées par ces entreprises américaines comme ayant une prévalence sur les règles de sécurité locales. Et si c’est le cas, pour le dire autrement, elles ne seront pas plus sécurisantes pour les individus européens ».
De nouvelles questions préjudicielles, plutôt qu'un arrêt des flux
Suite à l'invalidation du Safe Harbor, M. Schrems a donc mis à jour sa procédure dans l’espoir de faire stopper ces flux. Un pouvoir reconnu aux autorités de contrôle par l’arrêt de 2015. Après de multiples épisodes judiciaires, la CNIL irlandaise, plutôt que faire suite à cette suspension, a préféré agir devant les juridictions nationales où une série de questions préjudicielles a été transmise à la CJUE. C’est ce que l'intéressé a annoncé hier sur son compte Twitter.
La cour de Luxembourg devra en particulier déterminer si ces véhicules violent la Charte des droits fondamentaux, ou encore si le niveau de protection garanti par les États-Unis respecte celui en vigueur en Europe. L’arrêt est attendu dans plusieurs mois.
L'autre front initié par la Quadrature du Net, FDN, FFDN
Le dossier des transferts de données entre l’Europe et les États-Unis est le foyer d’une autre contestation initiée cette fois par la Quadrature du Net, FDN et FFDN. En octobre 2016, ceux-ci se sont attaqués devant la CJUE au Privacy Shield, le successeur du Safe Harbor. Selon eux, la nouvelle décision d’adéquation reste perfectible. Eux aussi considèrent que le risque de collecte de masse n’est pas évincé par ce nouvel accord.
Comme l’a révélé Next INpact, la France est intervenue dans ce dossier auprès du tribunal de la Cour de justice de l’Union européenne afin de soutenir la Commission européenne contre les trois demandeurs. Elle considère en substance que le Privacy Shield est un solide bouclier. Alors certes, il y aurait des brèches graves dans la vie privée, mais quand on parle de lutte contre le terrorisme, « la protection de la sécurité nationale et de l’ordre public constitue un objectif d’intérêt général de l’Union susceptible de [les] justifier ».
Commentaires (10)
#1
Ça nous laisse le temps de trouver un nouveau nom : privacy harbor ? Safe Shield ? 
" />
" />
En tout cas, bravo à l’obstination de Max Schrems
#2
Alors certes, il y aurait des brèches graves dans la vie privée, mais quand on parle de lutte contre le terrorisme, « la protection de la sécurité nationale et de l’ordre public constitue un objectif d’intérêt général de l’Union susceptible de [les] justifier ».
Et un point Benjamin Franklin, un !
C’est lassant…
#3
“Il y a des brèches graves à la vie privée mais la lutte contre le terrorisme est préservée.”
Tout va bien !
#4
#5
#6
#7
#8
#9
#10
Pt’ain il lâche rien l’Autrichien !